Sommario
Al concorso Pwn2Own Vancouver 2024, i ricercatori di sicurezza hanno dimostrato l’efficacia delle loro competenze rivelando 29 vulnerabilità zero-day e guadagnando premi per un totale di 1.132.500 dollari. Quest’anno, l’evento ha messo alla prova software e prodotti nelle categorie browser web, cloud-native/container, virtualizzazione, applicazioni enterprise, server, escalation di privilegi locale, comunicazioni enterprise e automotive, tutti aggiornati e nelle loro configurazioni predefinite.
La ricompensa totale disponibile superava i 1.300.000 dollari in denaro, oltre a una Tesla Model 3, vinta da Team Synacktiv già nel primo giorno di gara.
Traguardi raggiunti
Durante la competizione, i partecipanti hanno dimostrato di poter eseguire codice e scalare privilegi su sistemi aggiornati, prendendo di mira Windows 11, Ubuntu Desktop, VMware Workstation, Oracle VirtualBox, tre browser web (Apple Safari, Google Chrome e Microsoft Edge) e la Tesla Model 3.
Le aziende produttrici hanno ora 90 giorni di tempo per rilasciare correzioni di sicurezza per le vulnerabilità zero-day segnalate durante il contest Pwn2Own, prima che l’iniziativa Zero Day di TrendMicro le renda pubbliche.
Vincitori e premi
Manfred Paul si è aggiudicato l’edizione di quest’anno di Pwn2Own Vancouver, guadagnando 202.500 dollari e totalizzando 25 punti Master of Pwn, dopo aver compromesso i browser Apple Safari, Google Chrome e Microsoft Edge.
Il primo giorno, Paul ha sfruttato una combinazione di bug per ottenere esecuzione di codice remoto (RCE) su Safari e ha successivamente utilizzato un exploit RCE su Chrome e Edge. Synacktiv ha attirato l’attenzione il primo giorno, vincendo una Tesla Model 3 e 200.000 dollari dopo aver compromesso l’ECU della Tesla in meno di 30 secondi.
Al secondo giorno, Paul ha sfruttato una vulnerabilità zero-day di scrittura fuori limiti per ottenere RCE e ha eluso il sandbox di Mozilla Firefox.
Altri tentativi riusciti comprendono exploit di escalation di privilegi su Windows 11, exploit RCE su VMware Workstation e Ubuntu Linux, e un exploit di escape da Docker, dimostrando la vastità e la profondità delle competenze presenti all’evento.
Impatto su industria e sicurezza
Negli ultimi tre eventi Pwn2Own, ZDI ha assegnato premi per un totale di 3.494.750 dollari, mettendo in luce l’importanza di questi contest nel mondo della cybersecurity e nell’identificazione delle vulnerabilità prima che possano essere sfruttate malevolmente.
Cos’è Pwn2Own?
Pwn2Own è un celebre concorso di hacking che si svolge annualmente durante la conferenza sulla sicurezza CanSecWest. La competizione, inaugurata per la prima volta ad aprile 2007 a Vancouver, mette alla prova le abilità dei partecipanti nel trovare e sfruttare vulnerabilità di sicurezza in software popolari, tra cui browser web, sistemi operativi, dispositivi mobili e, più di recente, anche in altre categorie come dispositivi IoT e sistemi automobilistici.
Nel corso degli anni, il Pwn2Own è diventato un importante punto di riferimento per la comunità della sicurezza informatica, offrendo ai ricercatori l’opportunità non solo di dimostrare le loro competenze tecniche ma anche di contribuire al miglioramento della sicurezza globale del software, grazie alla divulgazione responsabile delle vulnerabilità scoperte. Le aziende coinvolte, a loro volta, ricevono preziose informazioni sulle falle di sicurezza presenti nei loro prodotti, che possono poi essere corrette prima che vengano sfruttate malevolmente.
Con il passare degli anni, Pwn2Own ha ampliato le sue categorie, accogliendo sfide sempre più complesse e diverse, mantenendo l’interesse alto sia tra i partecipanti che tra il pubblico. Le ricompense economiche per i vincitori sono notevoli e crescono in base alla difficoltà e all’importanza delle vulnerabilità scoperte.
